IP-adresbeperking voor Snowflake-serviceaccounts 

Gegevensbeveiliging is essentieel. Je instelling kan Snowflake-serviceaccounts toegang verlenen of beperken tot specifieke IP-adressen. Dit vermindert het risico van onbevoegde toegang tot gevoelige gegevens.

Je kunt een bepaald IP-adres of een bereik van IP-adressen toestaan en beperken.

Met een beperkt IP-adres hebben gebruikers geen toegang tot een Snowflake-serviceaccount en kunnen ze het wachtwoord van een Snowflake serviceaccount niet wijzigen.

Op deze Help-pagina vind je de volgende onderwerpen: 

Wat is een Snowflake-serviceaccount?

Er zijn twee manieren om je aan te melden bij Snowflake. 

  • Meld je aan met een gebruikersnaam en wachtwoord: deze worden Illuminate-serviceaccounts genoemd en zijn handig voor M2M (machine-to-machine)-verbindingen. IP-adresbeperkingen zijn alleen van toepassing op serviceaccounts. Op dit moment is er slechts 1 serviceaccount beschikbaar in Illuminate, genaamd SVC_BLACKBOARD_DATA.
Sign in to Snowflake screen with user name and password fields highlighted
  • Aanmelden met SSO: Snowflake beschikt over je Illuminate-inloggegevens om je aan te melden. Als je een IP-beperking wilt configureren, moet je je aanmelden via SSO en de BBDATA_USER_ROLE-rol hebben. IP-adresbeperking geldt niet voor gebruikers die zich aanmelden met SSO.
Snowflake sign in screen with Sign in using SSO highlighted

Een IP-adresbeperking configureren

Een IP-adresbeperking configureren: 

  • Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol. 
  • Open het zijpaneel en selecteer de optie Ontwikkelaar
  • Selecteer Snowflake starten.
Developer homepage, with Launch Snowflake in the bottom left
  • Selecteer Aanmelden met SSO.
    • Als je een IP-beperking wilt configureren, moet je je aanmelden via SSO. Als je Snowflake gebruikt met een serviceaccount, kunnen IP-beperkingen niet worden toegepast. 
    • Je Snowflake-gebruiker moet beschikken over een BBDATA_USER_ROLE.
Snowflake sign in screen with Sign in using SSO highlighted
  • Open het zijpaneel in Snowflake en selecteer Werkbladen
  • Selecteer Een nieuw werkblad aanmaken
  • Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd.
Example SQL worksheet in Snowflake
  • Je kunt deze query als basis gebruiken. Met deze voorbeeldquery is een specifiek IP-adres toegestaan (1.1.1.1) en wordt een bereik van IP-adressen beperkt (van 192.168.1.0 tot 192.168.1.255) voor een serviceaccount met de naam SVC_BLACKBOARD_DATA.

ROLE BBDATA_USER_ROLE GEBRUIKEN;

NETWERKBELEID NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1') WIJZIGEN;

NETWERKBELEID NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24') WIJZIGEN;

Worksheets tab in Snowflake

Uitleg van opdracht 

  • GEBRUIKERSROL. De rol die de machtiging heeft om het netwerkbeleid voor IP-beperkingen te wijzigen. 
    • BBDATA_USER_ROLE is de enige rol die IP-adresbeperkingen kan wijzigen. 
  • NETWERKBELEID WIJZIGEN. De opdracht die een bestaand netwerkbeleid bijwerkt. Dit beleid is eerder gemaakt door het team van Illuminate om de configuratie van IP-adresbeperkingen mogelijk te maken. 
    • NP_ SVC_BLACKBOARD_DATA. Identificeert het netwerkbeleid van het serviceaccount waarvoor een IP-adresbeperking geldt. Netwerkbeleid begint altijd met het voorvoegsel 'NP', gevolgd door de gebruikersnaam van het serviceaccount. Het enige beschikbare serviceaccount is SVC_BLACKBOARD_DATA. 
  • SET_ALLOWED_ID_LIST. Opdracht waarmee de lijst met IP-adressen wordt opgegeven die zijn toegestaan voor je Snowflake-tenant via een serviceaccount. 
  • SET_BLOCKED_ID_LIST. Opdracht waarmee de lijst met IP-adressen wordt opgegeven die zijn beperkt voor je Snowflake-tenant via een serviceaccount. 

Volg deze notatie om de gewenste IP-adressen op te nemen:

  •  Eén IP-adres: schrijf het IP-adres tussen haakjes en tussen enkele aanhalingstekens. ('1.1.1.1')
  • Meerdere IP-adressen: schrijf alle IP-adressen tussen één set haakjes. Schrijf elk IP-adres tussen enkele aanhalingstekens en scheid elk IP-adres met een komma. ( '1.1.1.1','2.2.2.2','3.3.3.3') 
  • Bereik van IP-adressen: gebruik het /-teken aan het einde van een IP-adres om het bereik aan te geven. In dit voorbeeld zijn alle IP-adressen binnen het bereik van 192.168.1.0 tot 192.168.1.255. ('192.168.1.0/24') toegestaan

De configuratie van je IP-adresbeperking controleren 

Als je de configuratie van je IP-adresbeperking wilt controleren, kun je de volgende opdrachten gebruiken: 

  • Open net als eerder het zijpaneel in Snowflake en selecteer Werkbladen
  • Selecteer Een nieuw werkblad maken. Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd. 
  • Voer de volgende query uit.

BESCHRIJF NETWERKBELEID NP_SVC_BLACKBOARD_DATA; 

  • In de sectie Resultaten vind je de lijst met toegestane en geblokkeerde IP-adressen.
List of allowed and blocked IP addresses
  • Je kunt ook de volgende query uitvoeren. 

NETWERKBELEID WEERGEVEN; 

  • In de sectie Resultaten vind je het beschikbare netwerkbeleid en het aantal vermeldingen in de lijst met toegestane IP-adressen en de lijst met geblokkeerde IP-adressen.
SQL worksheet example of a query

Het wachtwoord van een Snowflake-serviceaccount wijzigen als er een IP-adresbeperking opgetreden is

Het wachtwoord van een serviceaccount kan alleen worden gewijzigd op een computer die geen beperkt IP-adres heeft of die is opgenomen in de lijst met toegestane IP-adressen. 

Dit komt omdat het wachtwoord van het serviceaccount wordt gereset in Snowflake, waar IP-adresbeperkingen van toepassing zijn. 

  • Om een Illuminate-gebruiker toestemming te geven om het wachtwoord van een Snowflake-serviceaccount te wijzigen, kan de lijst met IP-adressen tijdelijk worden aangepast zodat het IP-adres van de gebruikerscomputer wordt opgenomen in de lijst met toegestane IP-adressen. 
  • Nadat de Illuminate-gebruiker het wachtwoord van het serviceaccount heeft gewijzigd, kan het IP-adres van de gebruikerscomputer weer van de toegestane lijst worden verwijderd.

Je kunt het wachtwoord voor een Snowflake-serviceaccount als volgt wijzigen:

  • Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol. 
  • Open het zijpaneel en selecteer Ontwikkelaar
  • Selecteer Instellingen
  • Selecteer het tabblad Snowflake-accountinstellingen
  • Zoek in de lijst Serviceaccount het SVC_BLACKBOARD_DATA-serviceaccount. Dat is het enige Snowflake-serviceaccount dat beschikbaar is in Illuminate. 
  • Selecteer Wachtwoord wijzigen
  • Stel het wachtwoord opnieuw in in het menu Snowflake.
Illuminate Settings screen with Change Password highlighted in the bottom right